Javascript 使用JQuery/Bootstrap/Ajax/ColdFusion 16登录页面?
我正在将一个应用程序从旧系统迁移到另一个/新系统中。我的单页应用程序前端内置JQuery/HTML5/CSS/AJAX,后端内置ColdFusion。在我开始开发我的新框架和登录页面之前,我希望能得到一些关于安全性的有用提示和用于此目的的最佳实践。我看到了Raymond Camden的博客文章,他解释了如何在JQuery/AJAX和ColdFusion中完成登录页面。 链接:Javascript 使用JQuery/Bootstrap/Ajax/ColdFusion 16登录页面?,javascript,jquery,ajax,login,coldfusion,Javascript,Jquery,Ajax,Login,Coldfusion,我正在将一个应用程序从旧系统迁移到另一个/新系统中。我的单页应用程序前端内置JQuery/HTML5/CSS/AJAX,后端内置ColdFusion。在我开始开发我的新框架和登录页面之前,我希望能得到一些关于安全性的有用提示和用于此目的的最佳实践。我看到了Raymond Camden的博客文章,他解释了如何在JQuery/AJAX和ColdFusion中完成登录页面。 链接: 他解释了过程,但我想知道接下来的几件事。我的主要登录页面应该使用.html文件还是.cfm文件作为登录页面?从提交开始,
他解释了过程,但我想知道接下来的几件事。我的主要登录页面应该使用.html文件还是.cfm文件作为登录页面?从提交开始,通过Ajax进行登录过程是否存在安全风险?我没有创建登录系统的经验,任何帮助都将不胜感激。如果有人能提供一些有用的博客或代码示例,将有助于这个过程,请让我知道 我很想将此作为一个评论来写,但这个问题需要一个很长的答案,并且可以通过许多不同的方式来解决。请把这个和盐放在一起 一般来说,我发现处理任何用户输入时的最佳实践,特别是在特定数据库中捕获输入时的最佳实践如下:
- 客户端验证(可以使用JavaScript或HTML5 required属性完成,如果正确完成,可以提高登录表单的安全性并防止跨站点脚本攻击)
- 服务器端验证(可以使用ColdFusion完成)
- 对您决定使用的任何数据库使用准备好的语句(这非常重要)。这可以通过ColdFusions
标记完成,并确保为其中一个属性添加参数。文件如下:
当您对数据库执行检查时。最重要的是要确保对查询输入进行清理,无论是验证用户、添加、更新还是从数据库中删除查询输入。为什么不使用API管理器为您执行此操作?(CF2016企业版免费提供) 否则,请查找OWASP函数并形成文档的安全部分